Sobre la fe y la privacidad… (II PARTE)

Publicado el 30 de abril de 2012 por Luis. 6 comentarios
Miniatura noticia

Si en la primera entrega de esta miniserie comentaba el quebranto del principio de seguridad de los datos en el tratamiento realizado por organizadores de “saraos lopedianos”, en esta, añadiré al mismo otros términos como el de encargo de tratamiento, o el del principio de calidad de los datos…

En la primera parte les hablaba de tres episodios y les relataba el primero de ellos… pues bien en estos dos de hoy, realmente los preceptos que en mi opinión se infringieron fueron los mismos en ambos casos, pero en el último la cosa clama al cielo… ya me contarán.

En la normativa sobre privacidad, también resulta de suma importancia el respeto al principio de calidad de los datos, según el cual, los datos deberán ser pertinentes para la consecución de la finalidad perseguida con el tratamiento, no se podrán tratar para finalidades incompatibles a aquélla, deberán no ser excesivos, deberán mantenerse actualizados en todo momento y cuando dejen de ser precisos, deberán cancelarse (o al menos, bloquearse en determinadas circunstancias).

Pues bien, durante el año pasado, tuve la enorme suerte de asistir a dos eventos internacionales organizados por una Asociación para el Fomento de la Seguridad de la Información a la cual me honro en pertenecer y cuya labor alabo enormemente -que conste-… Como buenos eventos internacionales, contaban con ponentes que realizaban sus intervenciones en “extranjero” y para aquellos que no tienen o tenemos una excesiva soltura en el idioma “extranjero hablado”, y como buenos anfitriones, los organizadores ponían a disposición de los asistentes equipos de audio en préstamo para acceder a los servicios de traducción simultánea de las intervenciones en “extranjero”. Eso sí, como estos equipos deben tener un coste apreciable, la organización no quería que ningún amigo de lo ajeno o simplemente despistado se pudiera quedar con los equipos, por lo cual, cuando acudías a la mesa a solicitar el préstamo, te pedían a cambio “una fianza” para asegurar la devolución… ¿Una fianza?… Sí, una fianza. ¿Y de cuánto importe? Pues depende… Depende del valor que cada cual le dé a sus propios datos personales, puesto que lo que dejabas “en prenda” era o tu DNI o tu pasaporte… ¡Sí señor! En este caso, creo que las personas que custodiaban los documentos eran de la propia organización por lo que sólo hablaré de exigencia desproporcionada en mi humilde opinión, puesto que la organización perfectamente podría haber ideado algún sistema de “autenticación” para cada asistente (que por otra parte tenían perfectamente identificados por sus inscripciones) que cumpliera la misma finalidad pero sin tener que retener un documento que como su propio nombre indica realiza una función de identificación personal de su titular.

Y en el tercero de los casos, lo vivido encaja exactamente con lo relatado en el caso anterior. La diferencia está en el sujeto “supuestamente infractor”… En este caso la organizadora del evento fue… la propia Agencia Española de Protección de Datos, autoridad nacional de nuestro Estado y cuya función principal es la de velar por el cumplimiento de la normativa, la difusión de la misma y la concienciación de la población del respeto a la privacidad…

Corría el año 2009 y tuve la suerte de poder acudir a la 31 Conferencia Internacional de Autoridades en Protección de Datos celebrada en Madrid… Al igual que en los dos eventos anteriormente mencionados, los no bilingües 100%, disponían o disponíamos de sistema de traducción simultánea, pero a cambio, también debías dejar el DNI o el pasaporte como fianza para garantizar la devolución del equipo prestado… En este caso, me dio la sensación de que los responsables del préstamo -y con ello de la custodia de los documentos repletos de datos personales exigidos como fianza- no estaban en plantilla del propio organizador del evento, sino que más bien parecían de alguna empresa externa que prestaba sus servicios para la Agencia.

Cuando un tercero que presta servicios para un responsable de tratamiento precisa acceder a datos por cuenta del mismo, se habla de encargo de tratamiento y dicha relación debe recogerse en un contrato celebrado por escrito o en cualquier otra forma que permita acreditar su celebración. Dicho contrato recogerá una serie de contenidos mínimos, entre los cuales, estarán las precisas indicaciones del responsable al encargado sobre para qué y cómo puede tratar los datos.

De ser esta circunstancia cierta (la de que los custodios de los DNI´s no trabajaban para la Agencia) entiendo que deberían considerarse encargados de tratamiento de aquella y por ello, estarían obligados (la empresa que prestase el servicio) a la celebración de este contrato, que no pongo en duda que se hubiera celebrado, pero al cual me hubiera encantado poder acceder para comprobar qué se decía al respecto de esta circunstancia del “secuestro pacífico de documentos identificativos”…

Como verán en este segundo caso, lo no respetado sería lo mismo que en el caso anterior, y en todos todos los casos relatados, evidentemente los organizadores hubieran tenido que cumplir con la normativa.

La diferencia fundamental, en mi opinión radica, en relación con el título de la entrada, que en este último caso, el que supuestamente no habría respetado la normativa habría sido la Agencia y ésta además de TENER que cumplir, DEBERÍA cumplir, por aquello de que “la mujer del César…”

Desde luego, lo que está claro, es que pedir “como fianza” el documento identificativo por excelencia en un evento relacionado con la privacidad, cuando menos suena “a guasa”.

En fin, que si la gente que organiza eventos para difundir la seguridad y la privacidad no acaba de creérselo… ¿Qué esperamos entonces del resto de mortales?

Muy buenos días…

 

Imagen: LucasTheExperience

6 comentarios

  1. Ad Edictum dice:

    Estas prácticas demuestran, aparte de muy poca confianza en la honradez de los profesionales del sector de la seguridad, que no se valora ni se da la importancia que merece a un documento como el DNI.

    En algunos países, los números de identifacion únicos están prohibidos (en teoría, el DNI no es un número de identificación único, pero esa es otra historia); en otros, se han intentado introducir tarjetas de identificación similares al DNI con poquísima aceptación y mucha polémica.

    En España, estamos acostumbrados a darlo a cualquiera y a presentar fotocopias del mismo en cualquier trámite. El resultado es que acaba siendo un dato accesible, y luego se utiliza para fraudes como contratar servicios en nombre de otros.

    • Luis dice:

      Gracias por su comentario de hoy (por el de ayer ya le agradecí en mi respuesta…)

      Lo mismo que le dije ayer, le repito… “No es por el huevo, sino por el fuero“… No me cabe duda alguna de que en todo momento mi documento nacional de identidad, junto con el del resto de asistentes a los eventos referidos, estuviera a buen recaudo y estoy totalmente seguro de que a nadie se le ocurrió ni mirar los datos contenidos en los documentos identificativos excepto para reintegralos a sus titulares en el momento de devolver los equipos en préstamo, pero como decía al final de mi segundo post, creo que no hubiera estado de más cuidar “las apariencias”… Y además, si aplicamos esa máxima tan conocida en seguridad de que el eslavón más debil siempre es el propio usuario… ¿para qué correr riesgos innecesarios?. ¿No le parece?

      Muy buenos días…

    • Tiene usted toda la razón en que no se fían de los profesionales del sector, y no me extraña… :p
      Discrepo en lo de que no se da importancia al DNI: claro que se le da, por eso es lo que piden en depósito para que no les manguen los auriculares 😉

  2. Es ésta una cosa que nunca me ha hecho gracia. A parte de que los datos así recabados puedan resultar excesivos para la finalidad pretendida, no podemos olvidar que el DNI, en teoría, es un documento personal e intransferible. Ahora, hay quien prefiere dejar el DNI antes que una fianza de 10-15 pavos.

    Saludos.

  3. Ad Edictum dice:

    D. David, me refería a que es un dato que facilitamos a cualquiera, sin pensar para qué lo necesitan (o desde el otro punto de vista, que pedimos sin ton ni son para cualquier trámite). Al final, resulta que son tantos los que tienen acceso a nuestro número de DNI como a nuestro nombre y apellido.

    Eso sí, se valora físicamente, igual que el pasaporte, porque si no, te toca pagar, hacer cola en la comisaría de Santa Engracia, y lo que es peor, dejar que te fotografíen los del estudio de enfrente, donde por cierto, y esto le encantará a D. Luis, tienen un mural con fotos de famosos que han pasado por allí como trámite inexcusable y previo a la renovación de los documentos….

    Y por supuesto, se valora más si tienes que tomar un avión después.

    Yo entiendo a los organizadores del evento, que conste. Exigir el DNI o pasaporte es el método más eficaz para que nadie se lleve el aparatito.

    No era cuestión de andar pidiendo dinero, porque como todo el mundo sabe, los profesionales del sector andamos siempre caninos. Además, que el personal de recepción saque una caja fuerte y se ponga a cambiar billetes a la entrada del acto le daría a aquello un aire de casa de empeño que no queremos para nuestra profesión…

    No en todos los sitios pueden ser tan exquisitos como en el Museo del Prado. En los cursos a museo cerrado, a los que he tenido el inmeso gusto de asistir, y a los que espero seguir asistiendo, la comprobación de la identidad resulta más personalizada, y no piden señal ni DNI para uso de aparatitos varios.

    Eso sí desde que se entra hasta que se sale, uno está vigilado también personalizadamente, ya que no sólo se encuentran en funcionamiento las cámaras de videovigilancia del museo sino que varios empleados de la institución están pendientes de hasta cuándo toses.

    Esta vigilancia opresiva es parte del encanto de sentarte con un grupo reducido frente a un Tiziano, sin nadie que pase delante, sin ruidos, casi a solas. Si no estuviéramos tan controlados, la mayor parte no le daría valor a este privilegio. Es decir, se pensaría: “Aquí puede estar cualquiera”.

    Por eso, estoy de acuerdo con D. Luis en que en ciertos eventos hay que cuidar los detalles, no sólo porque no se cumpla el dicho del herrero y la cuchara de palo, sino porque que hacer que el que asiste se sienta parte de un grupo selectivo y seleccionado.

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad